Οι υπηρεσίες πληροφοριών των ΗΠΑ εξέδωσαν σήμερα προειδοποίηση σχετικά με ένα κινεζικό botnet που έχει θέσει σε κίνδυνο 260.000 συσκευές σε όλο τον κόσμο, συμπεριλαμβανομένων δρομολογητών SOHO, firewalls, NAS και συσκευών Internet of Things (IoT), από ορισμένα από τα μεγαλύτερα ονόματα πληροφορικής και δικτύωσης.
Δείτε επίσης: Το Quad7 botnet στοχεύει περισσότερους VPN routers, media servers
Το FBI, η Υπηρεσία Εθνικής Ασφάλειας (NSA) και η Υπηρεσία Εθνικής Αποστολής στον Κυβερνοχώρο (CNMF) δήλωσαν στη συμβουλευτική (PDF) ότι φορείς του κυβερνοχώρου που συνδέονται με τη Λαϊκή Δημοκρατία της Κίνας έχουν χρησιμοποιήσει το botnet για να αναπτύξουν DDoS επιθέσεις και παραβιάσεις που στοχεύουν δίκτυα των Η.Π.Α. Σε ξεχωριστή ανακοίνωση, το Υπουργείο Δικαιοσύνης των ΗΠΑ δήλωσε ότι το botnet έχει διακοπεί από μια επιχείρηση επιβολής του νόμου που έχει εξουσιοδοτηθεί από το δικαστήριο.
Οι ερευνητές παρατήρησαν συνολικά 66 CVE που στοχεύτηκαν στην καμπάνια, με προϊόντα και υπηρεσίες από οργανισμούς όπως ServiceNow, Fortinet, Zyxel, Apache, QNAP, F5, Ivanti, Juniper, Citrix, WordPress, Ubiquiti, Confluence, Atlassian, Cisco, Netgear , IBM, D-Link, Microsoft.
Στην ανακοίνωση προστέθηκαν οι υπηρεσίες των ΗΠΑ από τους εταίρους της συμμαχίας “Five Eyes” – υπηρεσίες κυβερνοασφάλειας από την Αυστραλία, τη Νέα Ζηλανδία, τον Καναδά και το Ηνωμένο Βασίλειο.
Η Integrity Technology Group, μια εταιρεία με έδρα την Κίνα και συνδέσμους με την κινεζική κυβέρνηση, έχει τον έλεγχο και τη διαχείριση του botnet, το οποίο ήταν ενεργό από τα μέσα του 2021 και εντοπίστηκε πέρυσι από την Black Lotus Labs, η οποία ονόμασε το botnet “Raptor Train”.
Δείτε ακόμα: Το νέο Zergeca botnet πραγματοποιεί DDoS επιθέσεις
Το botnet συντηρούσε τακτικά “μεταξύ δεκάδων έως εκατοντάδων χιλιάδων παραβιασμένων συσκευών” και από τον Ιούνιο του 2024, αποτελούνταν από περισσότερες από 260.000 συσκευές, σχεδόν οι μισές από τις οποίες βρίσκονται στις ΗΠΑ. Οι συσκευές θύματα έχουν παρατηρηθεί στη Βόρεια Αμερική, τη Νότια Αμερική και την Ευρώπη, την Αφρική, την Νοτιοανατολική Ασία και την Αυστραλία.
Το κινεζικό botnet χρησιμοποιεί το Mirai malware για να παραβιάσει συσκευές IoT, συμπεριλαμβανομένων καμερών web, DVR, καμερών IP και δρομολογητών με λειτουργικά συστήματα που βασίζονται σε Linux. Περισσότερες από 50 διαφορετικές εκδόσεις Linux έχουν παρατηρηθεί στις μολυσμένες συσκευές, που ανήκουν στις εκδόσεις του πυρήνα Linux 2.6 έως 5.4.
Το ωφέλιμο φορτίο ξεκινά διεργασίες στη συσκευή για τη δημιουργία σύνδεσης με έναν διακομιστή εντολών και ελέγχου (C2) χρησιμοποιώντας TLS στη θύρα 443. Το κακόβουλο λογισμικό υποβάλλει επίσης αιτήματα στο “c.speedtest.net” και πάνω από 80 υποτομείς του “w8510. com” ήταν συνδεδεμένοι με τους διακομιστές C2 του botnet.
Ένα επίπεδο διακομιστών διαχείρισης που χρησιμοποιούν τη θύρα TCP 34125 διαχειρίζονται τους διακομιστές C2 του botnet. Αυτοί οι διακομιστές διαχείρισης φιλοξενούν μια βάση δεδομένων MySQL που περιείχε πάνω από 1,2 εκατομμύρια εγγραφές παραβιασμένων συσκευών, τόσο στο παρελθόν όσο και σε ενεργή εκμετάλλευση.
Δείτε επίσης: Η OVHcloud κατηγορεί την επίθεση DDoS στο botnet MikroTik
Ένα botnet είναι ένα δίκτυο υπολογιστών που έχουν μολυνθεί με κακόβουλο λογισμικό και ελέγχονται εξ αποστάσεως από έναν εισβολέα, συχνά χωρίς τη γνώση των ιδιοκτητών των υπολογιστών. Αυτά τα δίκτυα χρησιμοποιούνται συνήθως για την εκτέλεση επιθέσεων DDoS (Distributed Denial of Service), την αποστολή μαζικών ανεπιθύμητων μηνυμάτων (spam), ή την κλοπή προσωπικών πληροφοριών. Οι επιθέσεις botnet αποτελούν σοβαρή απειλή για την ασφάλεια στον κυβερνοχώρο και απαιτούν εξελιγμένες τεχνικές για την ανίχνευση και την αντιμετώπιση τους.
Πηγή: bleepingcomputer
